探讨从管理层面应对零天攻击的有效对策

科技创新速度之快,让信息安全负责人员可以从容实施各类安全保障措施,来应对各类泛滥的安全威胁。

然而,零天(zero-day)攻击似乎让安全负责人防不胜防,传统上的漏洞(或称弱点)生命周期规律正在被打破,黑客不再向以往那样炫耀发现了某些系统的漏洞,然后有跟进者积极寻找漏洞的利用方式,并尽可能写出可以简化利用漏洞造成破坏的代码,与此同时,受影响系统的厂家积极修复漏洞,并发布补丁和公告,以便用户尽快修复。

黑客们发现要想取得重大成功,最重要的是速度和数量,要抢在厂家的修复建议出来之前尽可能感染和控制最多的终端计算系统,所以,他们极力制造能自动入侵和感染其它计算系统的蠕虫型病毒,并搭建僵尸网络命令与控制中心,以便能有效利用这些资源牟利。

然而,这种攻击方式显得有些漫无目的,曝光的安全漏洞经常会被大型厂商及时修补,让黑客们的僵尸电脑损失不少,于是他们将目光转向了对特定目标的攻击,当然也学聪明了——不轻易向公众和厂商透露漏洞信息,只在一个小圈子里进行未公开漏洞的买卖。

这种新型的锁定目标的零日攻击的危害性更大,黑客利用系统厂商都不知晓的严重安全问题,最终用户如何防范呢?这不禁令人不寒而粟。

更让人担心的是0day遇上APT,即高级持续性威胁,APT是长期的、有计划、有组织的黑客潜伏行动,目标是窃取机密信息。趋势科技中国区资深产品经理林义轩表示:“以往这类攻击手法都针对政府和某些政治狂热分子为主,后来这种攻击被黑客广泛使用在一些大型企业的核心资料窃取上。”

假如黑客已经渗透进公司的安全控制中心,即便部署再多的安全控制措施如防病毒、入侵检测及防火墙等等,在海量的数据中,恐怕也难检测出一点潜伏者的蛛丝马迹,即使某位系统安全管理员在例行检查日志或报表时发现异常情况,这时再追查善于伪装的攻击者恐怕也是亡羊补牢,为时晚矣。

那有什么招儿呢?总不能无所作为,坐以待毙吧?应对之策无非构建多重防御体系,加强安全意识教育。

如果对关键的核心机密数据只实施一层防御措施的话,简单的0day零日攻击即可宣告机密数据外泄。如果有多层防御体系,攻击者要到达突破多层安全控管措施,到达核心层,所需的时间和精力会成倍上升,同时,多层防御也容易使这种潜伏式APT攻击行为暴露马脚,安全团队也有足够的时间还进行响应,比如进行防御体系的及时修复和加固。

而加强对员工们进行信息安全意识教育,则是防范0day和APT攻击的最后一道防线,再坚实的城堡也需要人员来守卫,如果人员打开城门,不加抵抗直接投了降,那多层的复杂防御体系反倒会方便攻击者进行占领之后的守卫或深入渗透。而在信息安全防范体系中,普通员工甚至管理层都类似城堡的守卫人员,经常会成为攻击者利用的对象,比如通过社交攻击攻击、网络诈骗或钓鱼邮件攻击等方式获得信息系统的控制权或高管对机密信息的访问权。相反,警觉的经过充分信息安全培训的员工会意识到这些攻击事件,并及时在全员范围内发现警告,这便让攻击者和攻击行为无处遁形。

切记,狡猾的攻击者会不断变换手法,并且找寻和利用新的未知安全漏洞,所以,安全防范体系仍需不断加强,而针对全体员工的安全意识教育,更需紧跟时代变迁的步伐,针对各类新老威胁,不断改进,重复刷新。

最后,需要安慰读者的是,狡猾的掌握着0day漏洞的资深黑客并不多见,魔高一尺道高一丈,只要我们坚持信息安全分组保护、多层防御的原则,认真在全员范围内进行信息安全认识和技能的普及教育,绝大多数低级的黑客攻击行为将被制止,而APT攻击也会得到相应的有效遏制,正义终将战胜邪恶。

在对全体员工进行安全意识培训或安全理念的普及教育方面,昆明亭长朗然科技有限公司有丰富的实践经验,特别能针对客户的特殊信息科技环境,定制设计和开发出最合适的安全意识培训方案和课程内容,像针对APT攻击的防范手段一样,这些培训方案和内容资源也是多样性、综合性和全面性的,安全培训的方案实施也是长期的、有计划和有组织的。

security-attack-0day

信息安全管理的优先工作是什么

attacks-analyzed

网络攻击方法越来越高超,匿名Anonymous黑客、政府赞助、零天zero-day攻击,高级可持续性威胁APT等等成为受害者们的一个借口,实际上事态有没有那么严重呢?

不可否认的是在舆论风口浪尖的一些组织机构更容易成为攻击者的目标,然而,多数安全攻击能够成功的原因是什么呢?我们找到了微软发布的安全情报报告,让人大跌眼镜的是Zero-day溢出攻击竟然被忽略不计!利用一年内和往年的已知安全漏洞的溢出攻击合起来也不足10%。

感染或攻击成功的最主要原因是需要用户参与互动的、以及通过USB和网络需自动运行的。近半数需要用户执行某个操作才能触发,而有超过三分之一的恶意软件或攻击需要利用Windows“自动运行”功能。

了解了这些攻击矢量,负责安全管理的IT总监、经理和主管们在进行信息安全规划和运维时便可以更好地分配适当的时间、资源、人力和预算。

显然,对信息系统安装适当的安全更新修复相关的安全漏洞必不可少,不过,IT负责人却需要将更多的资源投放到最终用户的互动式操作方面。说到用户交互式操作,简单说就是防止用户有意或无意进行不当操作。如同诈骗分子远程操控受害者从柜员机上转账一样,形形色色的安全威胁也会利用最终用户的“帮忙”来实施入侵行为。比如社交工程学攻击者会冒充经理层或IT等来引诱员工泄露机密信息,网络钓鱼分子也会炮制恶意链接或附件,以期目标用户来点击和执行。

尽管通过输入校验、权限设置、内容过滤等技术措施可以一定程度地帮助防止用户不经意犯错,但是需知信息不仅仅是电子数据,信息包括人们的各种感观对世界的认知。留在人们大脑中的对公司成功至关重要的数据信息仍然是海量的。而存储于员工们的头脑中的、无法通过信息安全系统进行管控的,则需要特别的关注,而有效解决方法唯有加强员工们的安全意识教育

IT安全负责人可以通过技术手段来禁止USB、CDROM和网络“自动运行”功能,但是仍然需要教育用户不能随意开启和点击陌生U盘光盘内的可疑文件等等。

昆明亭长朗然科技有限公司是国内信息安全意识宣教领域的领航者,我们创作了大量的安全意识教程内容,包括动画视频、电子微课和知识图库等等。同时,针对管理层,我们也推出了信息安全管理基本知识相关的快速教程,欢迎有兴趣和需要的客户联系我们,洽谈采购与合作。

  • 电话:0871-67122372
  • 手机:18206751343
  • 微信:18206751343
  • 邮箱:info@securemymind.com
  • QQ:1767022898